Projekt Bericht PT2

AKTUELLES

Verkehrssicherheitsprojekt "Schutzengel"

Schriften der Eugen-Otto-Butz-Stiftung - sonstige Publikationen: Accident patterns and prospects for maintaining the safety of older drivers

Schriftenreihe Mobilität und Alter Band 7: Mobilität und demografische Entwicklung

DOWNLOADS

Schriftenreihe Mobilität und Alter

Schriftenreihe Forschungsergebnisse für die Praxis

Schriftenreihe Leitfaden

Sicherheit Elektronischer Motorleistungsregelungen gegen Selbstbeschleunigung

Kurzfassung

Ausschlaggebend für den Vorschlag zu diesem Forschungsprojekt waren Unfallmeldungen in der Presse und Unfalluntersuchungen, in denen von betroffenen Fahrzeugführern eine ungewollte Selbstbeschleunigung ihres Fahrzeugs beschrieben wurde. In der Mehrzahl der bekannten Fälle konnte jedoch ein technischer Defekt am Unfallfahrzeug nicht nachgewiesen werden. Somit wurde als Ziel dieses Forschungsprojektes die Untersuchung der ausreichenden Sicherheit von elektronischen Motorleistungsregelungen, deren Funktion die elektronische Übertragung der gewählten Gaspedalstellung zur Drosselklappe ist, gegen Selbstbeschleunigung definiert. Durchgeführt wurde die Prüfung an einem zufällig ausgewählten Fahrzeug eines Herstellers, in dem eine Elektronische Motorleistungsregelung integriert war.
Da es für den Aufbau und die Prüfung von sicherheitsrelevanter Kraftfahrzeugelektronik bis zum heutigen Zeitpunkt keine nationale bzw. EG-Richtlinie gibt, wurde als Prüfgrundlage für die Untersuchung der Vorschlag "Prüfung von Elektronik-Systemen in Kraftfahrzeugen" (VdTÜV-Forschungsvorhaben Nr. 302) herangezogen. Die Anwendung des Vorschlags bezog sich ausschließlich auf die Prüfung des Systems nach der Black-Box-Testmethode. Dabei war nicht bekannt, auf welcher Grundlage das Sicherheitskonzept des Herstellers basierte. Die Vorgehensweise bei der Prüfung (Black-Box-Test) wird in ähnlicher Form als Teilprüfung auch im Richtlinienentwurf zu Q 30 StVZO "Prüfung von Systemen mit elektronischen Komponenten in Kraftfahrzeugen" beschrieben. Die simulierten Fehler an den Anschlußleitungen des Steuergerätes gelten als praxisorientiert und werden auch von Kraftfahrzeugelektronik-Herstellern während der Systemabwicklung durchgeführt.
Bei dem vorliegenden E-Gas-System kam es während der Fehlersimulation zur Selbstbeschleunigung des Fahrzeugs durch die Kombination eines von den Sicherheitseinrichtungen unentdeckten Erstfehlers mit einem nachfolgenden zweiten Fehler.
Die Selbstbeschleunigung basierte auf dem unerkannten Erstfehler, hervorgerufen durch die Leitungsverbindung zwischen dem Ausgang Notabschaltung des Steuergerätes und der Fahrzeugbatteriespannung 12 V. Dadurch wurde eine Betätigung des Steuergeräteausgangs "Notabschaltung" verhindert. Die Überwachungseinrichtungen des Steuergerätes erkannten den simulierten Fehler nicht, und die Warnlampe im Kombi-Instrument des Fahrzeugs leuchtete nicht auf. Zu einer Beeinträchtigung der Funktion im Normalbetrieb des Fahrzeugteilsystems führte der Fehler nicht. In der Praxis könnte der simulierte Erstfehler durch einen Defekt am Schaltausgang "Notabschaltung" im E-Gas-Steuergerät oder durch ein defektes nachgeschaltetes Relais verursacht werden.
Eine Selbstbeschleunigung des Fahrzeugs trat erst in Kombination mit einem simulierten Fehler am Masseanschluß des Istwertgebers auf. Dabei wurde bei einem Masseübergangswiderstand von ca. 4000 Ohm die größtmögliche Öffnung der Drosselklappe erreicht, während bei kleineren Widerstandswerten die Drosselklappenöffnung proportional abnahm. Bei Werten über ca. 4000 Ohm erkannten die Überwachungseinrichtungen des E-Gas-Steuergerätes den Fehler und das System schaltete in den Notbetrieb um. Der Zweitfehler am Istwertgeberpotentiometer könnte in der Praxis durch einen Masseübergangswiderstand herbeigeführt werden.
Zum Erreichen der maximalen Beschleunigung im Normalbetrieb des Fahrzeugs müßte die beschriebene Fehlerkombination mit einem Widerstandswert von ca. 4000 Ohm auftreten. Widerstandswerte, die wesentlich kleiner sind als 4000 Ohm, können als unkritisch angesehen werden.
Die gewählte Sicherheitsklasse 2 des angewendeten Sicherheitskonzeptes fordert eine laufende Kontrolle von Sensoren und Aktuatoren in maximal möglicher Tiefe. Dies wird bei dem Steuergeräteausgang Notabschaltung nicht in voller Konsequenz durchgeführt. Zur Aufdeckung des simulierten Erstfehlers könnte z.B. der Schaltausgang des Steuergerätes beim Einschalten der Zündung durch eine Überwachungsfunktion mehrmals als kurz betätigt und zur Überprüfung wieder zurückgelesen werden. Würde dabei ein Fehler aufgedeckt, könnte die Elektronische Motorleistungsregelung auf Notbetrieb umgeschaltet und der Fehler dem Fahrer über die Warnlampe im Kombi-Instrument angezeigt werden. Somit wäre sichergestellt, daß ein Erstfehler am Steuergeräteausgang Notabschaltung vor dem Beginn der Fahrt mit dem Fahrzeug erkannt würde.
Bei einer Einstufung des E-Gas-Systems in die Sicherheitsklasse 3 des angewandten Vorschlages, hätte der beschriebene Fehler ebenfalls nicht auftreten dürfen. Bei der Sicherheitsklasse 3 darf ein zusätzlicher Fehler (Zweitfehler) zu einem unerkannten Erstfehler zu keinem gefährlichen Zustand führen.
Das hier dargestellte Prüfergebnis beruht auf der Untersuchung einer Elektronischen Motorleistungsregelung eines Fahrzeugs. Hieraus kann weder abgeleitet werden, inwieweit das Ergebnis sich auf Fahrzeuge des gleichen Typs noch auf die z. Zt. zugelassenen Fahrzeuge am Markt mit unterschiedlichen E-Gas-Systemen übertragen läßt. Hierzu wären weitere Untersuchungen an anderen Fahrzeugen erforderlich.
Wie aus dem beschriebenen Prüfbeispiel zu erkennen ist, würde ein Regelwerk mit vorgegebenen Sicherheitsklassen für die Konzeption und Entwicklung von Fahrzeugelektronik eine wichtige Grundlage bieten. Der Vorteil läge in der Einheitlichkeit der Sicherheitskonzepte für bestimmte sicherheitskritische Aufgaben im Fahrzeug. Mit den bei der Anwendung des Regelwerkes gesammelten Erfahrungen bestände die Möglichkeit, dieses ständig zu erweitern und auch auf neu zu entwickelnde elektronische Systeme anzupassen.